Pod安全標準(PSS)與安全內容限制(SCC)
Kubernetes Pod安全標準(Ps)和Pod安全政策(Ps)定義權限等級、並限制Pod的行為。OpenShift Security內容限制(SCC)同樣定義OpenShift Kubernetes Engine特有的Pod限制。為了提供此自訂功能、Astra Trident可在安裝期間啟用特定權限。以下各節詳細說明Astra Trident設定的權限。
PSS-取代Pod安全性原則(PSP)。在Kubernetes v1.21中、已不再使用PSP、將在v1.25中移除。如需詳細資訊、請參閱 "Kubernetes:安全性"。 |
必要的Kubernetes安全內容和相關欄位
權限 | 說明 |
---|---|
權限 |
SCSI需要雙向裝載點、這表示Trident節點Pod必須執行特殊權限容器。如需詳細資訊、請參閱 "Kubernetes:掛載傳播"。 |
主機網路 |
iSCSI精靈所需。 |
主機iPC |
NFS使用程序間通訊(IPC)與nfsd通訊。 |
主機PID |
必須啟動 |
功能 |
。 |
Seccomp |
Seccomp設定檔在特殊權限容器中一律為「未限制」、因此無法在Astra Trident中啟用。 |
SELinux |
在OpenShift上、有權限的容器會在中執行 |
DAC |
權限容器必須以root身分執行。非權限容器會以root身分執行、以存取csi所需的UNIX通訊端。 |
Pod安全標準(PSS)
標籤 | 說明 | 預設 |
---|---|---|
|
允許Trident控制器和節點進入安裝命名空間。請勿變更命名空間標籤。 |
|
變更命名空間標籤可能會導致無法排程Pod、「建立錯誤:…」或「警告:Trident:Cig-…」。如果發生這種情況、請檢查命名空間標籤是否適用於 privileged 已變更。如果是、請重新安裝Trident。
|
Pod安全原則(PSP)
欄位 | 說明 | 預設 |
---|---|---|
|
特殊權限容器必須允許權限提高。 |
|
|
Trident不使用即時的csi暫時性磁碟區。 |
空白 |
|
非權限Trident容器不需要比預設集更多的功能、而且會將所有可能的功能授予權限容器。 |
空白 |
|
Trident並未使用 "FlexVolume驅動程式"因此,它們不會包含在允許的磁碟區清單中。 |
空白 |
|
Trident節點Pod會掛載節點的根檔案系統、因此設定此清單沒有任何好處。 |
空白 |
|
Trident不使用任何 |
空白 |
|
Trident不需要任何不安全的項目 |
空白 |
|
不需要將任何功能新增至權限容器。 |
空白 |
|
每個Trident Pod都會處理允許權限提高的問題。 |
|
|
否 |
空白 |
|
Trident容器以root執行。 |
|
|
掛載NFS磁碟區需要主機iPC才能與進行通訊 |
|
|
iscsiadm要求主機網路與iSCSI精靈進行通訊。 |
|
|
需要主機PID才能檢查是否有 |
|
|
Trident不使用任何主機連接埠。 |
空白 |
|
Trident節點Pod必須執行特殊權限容器、才能掛載磁碟區。 |
|
|
Trident節點Pod必須寫入節點檔案系統。 |
|
|
Trident節點Pod執行特殊權限容器、無法丟棄功能。 |
|
|
Trident容器以root執行。 |
|
|
Trident容器以root執行。 |
|
|
Trident不使用 |
空白 |
|
未設定Trident |
空白 |
|
Trident容器以root執行。 |
|
|
Trident Pod需要這些Volume外掛程式。 |
|
安全內容限制(SCC)
標籤 | 說明 | 預設 |
---|---|---|
|
Trident節點Pod會掛載節點的根檔案系統。 |
|
|
掛載NFS磁碟區需要主機iPC才能與進行通訊 |
|
|
iscsiadm要求主機網路與iSCSI精靈進行通訊。 |
|
|
需要主機PID才能檢查是否有 |
|
|
Trident不使用任何主機連接埠。 |
|
|
特殊權限容器必須允許權限提高。 |
|
|
Trident節點Pod必須執行特殊權限容器、才能掛載磁碟區。 |
|
|
Trident不需要任何不安全的項目 |
|
|
非權限Trident容器不需要比預設集更多的功能、而且會將所有可能的功能授予權限容器。 |
空白 |
|
不需要將任何功能新增至權限容器。 |
空白 |
|
Trident容器以root執行。 |
|
|
此SCC僅適用於Trident、並與其使用者有關。 |
空白 |
|
Trident節點Pod必須寫入節點檔案系統。 |
|
|
Trident節點Pod執行特殊權限容器、無法丟棄功能。 |
|
|
Trident容器以root執行。 |
|
|
未設定Trident |
空白 |
|
特殊權限容器永遠都會執行「未限制」。 |
空白 |
|
Trident容器以root執行。 |
|
|
提供一個項目來將此SCC繫結至Trident命名空間中的Trident使用者。 |
不適用 |
|
Trident Pod需要這些Volume外掛程式。 |
|